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Anmelder 






GIESECKE & DEVRIENT GMBH et al. 





1 . Dieser Internationale vorlaufige Prufungsbericht wurde von der mit der internationalen voriaufigen Prufung beauftragten 
Behorde erstellt und wird dem Anmelder gemaB Artikel 36 ubermittelt. 

2. Dieser BERICHT umfaBt insgesamt 7 Blatter einschlieBlich dieses Deckblatts. 

□ AuGerdem liegen dem Bericht ANLAGEN bei; dabei handelt es sich urn Blatter mit Beschreibungen, Anspruchen 
und/oder Zeichnungen, die geandert wurden und diesem Bericht zugrunde liegen, und/oder Blatter mit vor dieser 
Behorde vorgenommenen Berichtigungen (siehe Regel 70.16 und Abschnitt 607 der Verwaltungsrichtlinien zum PCT) 

Diese Anlagen umfassen insgesamt3Blatter. 



3. Dieser Bericht enthalt Angaben zu folgenden Punkten: 

Grundlage des Berichts 
Prioritat 

Keine Erstellung eines Gutachtens uber Neuheit, erfinderische Tatigkeit und gewerbliche Anwendbarkeit 
Mangelnde Einheitlichkeit der Erfindung 

Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 
Bestimmte angefuhrte Unterlagen 
Bestimmte Mangel der internationalen Anmeldung 
Bestimmte Bemerkungen zur internationalen Anmeldung 



I 




II 


□ 


III 


□ 


IV 




V 




VI 


□ 


VII 


□ 


VIII 


□ 



Datum der Einreichung des Antrags 



07/03/2001 



Datum der Fertigstellung dieses Berichts 
22.01.2002 



Name und Postanschrift der mit der internationalen voriaufigen 
Prufung beauftragten Behorde: 

Europaisches Patentamt 

D-80298 Munchen 
„ Tel. +49 89 2399 - 0 Tx: 523656 epmu d 

Fax: +49 89 2399 - 4465 



Bevollmachtigter Bediensteter 
Bozas, I 

Tel. Nr. +49 89 2399 7408 



Formblatt PCT/IPEA/409 (Deckblatt) (Januar 1994) 



INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/E POO/091 31 



I. Grundlage des Berichts 

1 . Hinsichtlich der Bestandteile der internationalen Anmeldung (Ersatzblatter, die dem Anmetdeamt aufeine 
Aufforderung nach Artikel 14 hin vorgelegt wurden, gelten im Rahmen dieses Berichts als "ursprunglich 
eingereicht" und sind ihm nicht beige fugt, weii sie keine Anderungen enthaiten (Regeln 70. 16 and 70. 1 7)): 
Beschreibung, Seiten: 

1-7 ursprungliche Fassung 

1 a eingegangen am 26/1 1/2001 mlt Schreiben vom 26/1 1/2001 
Patentanspruche, Nr.: 

1 * 5 eingegangen am 26/1 1/2001 mit Schreiben vom 26/1 1/2001 
Zeichnungen, Blatter: 

1/2,2/2 ursprungliche Fassung 



2. Hinsichtlich der Sprache: Alle vorstehend genannten Bestandteile standen der Behorde in der Sprache, in der 
die internationale Anmeldung eingereicht worden ist, zur Verfugung oder wurden in dieser eingereicht, sofern 
unter diesem Punkt nichts anderes angegeben ist. 

Die Bestandteile standen der Behorde in der Sprache: zur Verfugung bzw. wurden in dieser Sprache 
eingereicht; dabei handelt es sich urn 

□ die Sprache der Ubersetzung, die fur die Zwecke der internationalen Recherche eingereicht worden ist (nach 
Regel 23.1(b)). 

□ die Veroffentlichungssprache der internationalen Anmeldung (nach Regel 48.3(b)). 

□ die Sprache der Ubersetzung, die fur die Zwecke der internationalen vorlaufigen Prufung eingereicht worden 
ist (nach Regel 55.2 und/oder 55.3). 

3. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die 
internationale vorlaufige Prufung auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das: 

□ in der internationalen Anmeldung in schriftlicher Form enthaiten ist. 

□ zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

□ bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

□ bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

□ Die Erklarung, da3 das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht liber den 
Offenbarungsgehalt der internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

□ Die Erklarung, da3 die in computerlesbarer Form erfassten Informationen dem schriftlichen 
Sequenzprotokoll entsprechen, wurde vorgelegt. 



Formblatt PCT/IPEA/409 (Felder l-VIII, Blatt 1) (Juli 1998) 



INTERN ATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/E POO/091 31 



4. 



Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 



□ 



Beschreibung, 

Anspruche, 

Zeichnungen, 



Seiten: 



□ 



Nr.: 



□ 



Blatt: 



5. □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden, da diese aus den 
angegebenen Grunden nach Auffassung der Behorde uber den Offenbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)). 

(Auf Ersatzbiatter, die solche Anderungen enthalten, ist unter Punkt 1 hinzuweisen;sie sind diesem Bericht 
beizufugen). 



6. Etwaige zusatzliche Bemerkungen: 



IV. Mangelnde Einheitlichkeit der Erfindung 

1 . Auf die Aufforderung zur Einschrankung der Anspruche oder zur Zahlung zusatzlicher Gebuhren hat der 
Anmelder: 

□ die Anspruche eingeschrankt. 

□ zusatzliche Gebuhren entrichtet. 

□ zusatzliche Gebuhren unter Widerspruch entrichtet. 

□ weder die Anspruche eingeschranki noch zusatzliche Gebuhren entrichtet. 

2. H Die Behorde hat festgestellt, daB das Erfordernis der Einheitlichkeit der Erfindung nicht erfullt ist, und hat 

gemaG Regel 68.1 beschlossen, den Anmelder nicht zur Einschrankung der Anspruche oder zur Zahlung 
zusatzlicher Gebuhren aufzufordern. 

3. Die Behorde ist der Auffassung, daB das Erfordernis der Einheitlichkeit der Erfindung nach den Regeln 13.1, 13.2 - 
und 13.3 

□ erfullt ist 

G9 aus folgenden Grunden nicht erfullt ist: 
siehe Beiblatt 

4. Daher wurde zur Erstellung dieses Berichts eine intemationale vorlaufige Prufung fur folgende Teile der 
internationalen Anmeldung durchgefuhrt: 

IS alle Teile. 

□ die Teile, die sich auf die Anspruche Nr. beziehen. 



Formblatt PCT/IPEA/409 (Felder l-VIH, Blatt 2) (Juli 1998) 



INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/EP00/091 31 



V. Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

1. Feststellung 

Neuheit (N) Ja: Anspruche 1-5 

Nein: Anspruche 

Erfinderische Tatigkeit (ET) Ja: Anspruche 1, 3-4 

Nein: Anspruche 2, 4-5 

Gewerbliche Anwendbarkeit (GA) Ja: Anspruche 1-5 

Nein: Anspruche 

2. Unterlagen und Erklarungen 
siehe Beiblatt 



Formblatt PCT/IPEA/409 (Felder l-VIII, Blatt 3) (Juli 1998) 



INTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/E POO/091 31 
PRUFUNGSBERICHT - BEIBLATT 



Zu Punkt IV 

Mangelnde Einheitlichkeit der Erfindung 

1 . Es wird auf folgende Dokumente verwiesen: 

D1: US-A-5 651 111 
D2: US-A-5 715 389 
D3: US-A-5 761 414 

2. Die internationale Anmeldung erfullt aus folgenden Grunden nicht die in Regel 30 
PCT genannten Erfordernisse bezuglich Einheitlichkeit: 

Die gemeinsamen Merkmale der unabhangigen Anspruche 1 und 2 sind folgende: 

Verfahren zur Sicherung des Programablaufs beim Aufruf von Unterprogrammen, 
wobei das aufgerufene Programm vor bzw. wahrend der Programmausfuhrung 
eine Uberprufung der vom aufrufenden Programm direkt oder indirekt 
ubermittelten Daten ausfuhrt. 

Dokument D1 offenbart alle gemeinsamen Merkmale der unabhangigen 
Anspruche 1 und 2 (siehe D1, Zusammenfassung; Spalte 14, Zeilen 17-20 und 
33-63; Spalte 15, Zeilen 17-57; Anspruch 20). 

Obwohl das in D1 beschriebene Verfahren zum Erzeugen eines Software- 
Testsystems entwickelt worden ist, ist es durchaus auch aeeianet zur 
Uberprufung der Daten, die einem aufgerufenen Program ubergeben werden, 
wobei die Uberprufung von dem aufgerufenen Program selbst erfolgt (siehe PCT 
Richtlinien, Teil C, Kapitel III-4.8). 

Folglich sind die gemeinsamen Merkmale der unabhangigen Anspruche 1 und 2 
nicht neu. Die erforderliche Einheitlichkeit der Erfindung (Regel 13.1 PCT) ist 
damit insofern nicht mehr gegeben, als zwischen den Gegenstanden der unab- 
hangigen Anspruche 1 und 2 kein technischer Zusammenhang im Sinne der 
Regel 13.2 PCT besteht, der in einem oder mehreren gleichen oder 
entsprechenden besonderen technischen Merkmalen zum Ausdruck kommt. 



Formblatt PCT/Beiblatt/409 (Blatt 1) (EPA-April 1997) 



INTERN ATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/EP00/091 31 
PRUFUNGSBERICHT - BEIBLATT 



Zu Punkt V 

Begriindete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der 
erfinderischen Tatigkeit und der gewerblichen Anwendbarkeit; Unterlagen und 
Erklarungen zur Stutzung dieser Feststellung 

1 . Erste Gruppe: Anspruche 1 , 3-4 



Aufgabe der Erfindung ist es, ein Verfahren zur Sicherung des Programmablaufs 
beim Aufruf von Unterprogrammen bereitzustellen, wobei der Programmablauf 
von unerlaubten Manipulationen zu schutzen ist. Diese Aufgabe wird durch das in 
dem unabhangigen Anspruch 1 beschriebene Verfahren gelost. Das Verfahren 
verhindert eine unerlaubte Manipulation, in dem es verlangt, daB ein aufgerufenes 
Programm vor bzw. wahrend der Programmausfuhrung eine Uberprufung der vom 
aufrufenden Programm direkt oder indirekt ubermittelten Daten ausfuhrt. Die 
Uberprufung erfolgt mittels eine Checksumme. Insbesondere, werden 
Checksummen uber die zu ubergebenden Parameter vor und nach der Ubergabe 
gebildet und miteinander verglichen. Eine Ungleichheit der beiden Checksummen 
fuhrt zum Abbruch des Programms bzw. zu einer Fehlermeldung. 

Dokument D1 , das den nachstliegenden Stand der Technik fur den Anspruch 1 
resprasentiert, beschreibt ein Testverfahren, das bei der Softwareentwicklung 
eingesetzt wird urn das Testen von Softwaremodulen zu automatisieren. Obwohl, 
das in D1 beschriebene Verfahren eine Uberprufung der unter verschiedenen 
Routinen ubergebenen Parameter erwahnt, unterscheidet sich der 
Offenbarungsgehalt des Dokuments D1 vom Gegenstand des Anspruchs 1, 
dadurch, daf3 die vorgenommene Uberprufung nicht mittels gebildeten 
Checksummen erfolgt. D1 gibt auch keinen Hinweis in der Richtung, weil es sich 
mit einem anderen Problem befa3t (Software-testing, Debugging, formale 
Parameteruberprufung) als die Anmeldung (Sicherheit des Programmablaufs). 

2. Zweite Gruppe: Anspruche 2, 4-5 

2.1 Erfinderische Tatigkeit, Artikel 33(3) PCT: 



Formblatt PCT/Beiblatt/409 (Blatt2) (EPA- April 1997) 



INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT - BEIBLATT 



Internationales Aktenzeichen PCT/E POO/091 31 



Die Anmeldung erfullt aus folgenden Grunden nicht das in Artikel 33(3) PCT 
genannte Kriterium bezuglich erfinderischer Tatigkeit: 

Anspruch 2: 

Dokument D3, das als nachstliegender Stand der Technik fur Anspruch 2 
angesehen wird, offenbart ein Verfahren zur Sicherung des Programmablaufs 
beim Aufruf von Unterprogrammen (Zusammenfassung), dadurch 
gekennzeichnet, daB bei Aufruf eines Unterprogramms ein Timer gestartet wird 
(Zusammenfassung; Figur 1a; Spalte 2, Zeilen 17-21), welcher die fur die 
Ausfuhrung des Programms benotigte Anzahl von Taktzyklen zahlt und das 
Programm abbricht, wenn vor Beendigung des Unterprogramms die vorgegebene 
Anzahl der Taktzyklen uberschritten wurde (Zusammenfassung). 

DemgemaB unterscheidet sich der Gegenstand des unabhangigen Anspruchs 2 
von dem Verfahren in D3, in dem das aufgerufene Programm vor bzw. wahrend 
der Programmausfuhrung eine Uberprufung der vom aufrufenden Programm 
direkt oder indirekt ubermittelten Daten ausfuhrt . 

Dieses Merkmal reprasentiert einen allgemeinen und aus dem Stand der Technik 
bekannten Verfahrensschritt (siehe z.B. D1, Zusammenfassung; Spalte 14, Zeilen 
33-63; Spalte 15, Zeilen 17-57; Anspruch 20), der ublicherweise unternommen 
wird urn die Konsistenz der ubermittelten Daten gegebenenfalls zu prlifen. Darauf 
kann keine erfinderische Tatigkeit basieren, da es fur den Fachmann ein 
offensichtiger Schritt ware, die Lehren der Dokumenten D1 und D3 zu 
kombinieren urn somit auf der im Anspruch 2 vorgeschlagenen Losung zu 
kommen. Folglich liegt dem Gegenstand des unabhangigen Anspruchs 2 keine 
erfinderische Tatigkeit zugrunde. 

2.2 Anspruche 4 und 5: 

Die abhangigen Anspruche 4 und 5 enthalten keine Merkmale, die in Kombination 
mit den Merkmalen von Anspruch 2, auf den sie sich beziehen, die Erfordernisse 
des PCT in bezug auf erfinderische Tatigkeit erfullen. 



Formblatt PCT/Beiblatt/409 (Blatt 3) (EPA-April 1997) 



Beschreibungsseite la 

Aus dem US-Patent US-PS 5,715,389 ist ein On-Line-Uberwachungssystem 
fur Computersysteme bekannt, bei dem die Zeit, welche fur den Ablauf eine 
Programms benetigt wird, ermittelt und mit einer vorgegebenen Zeit vergli- 
chen wird. Ein funktionaler Fehler bzw. mangelnde Verarbeitungseffizienz 
wird erkannt, wenn das iiberwachte Programm fur seine Ausfuhrung lange- 
re Zeit benotigt, als vorgesehen. 



GEAENDERTES BLATT 



Neue Patentanspriiche 



1 . Verf ahren zur Sicherung des Programmablauf s beim Auf ruf von Un- 
terprogrammen, wobei das aufgerufene Programm vor bzw. wahrend 
der Programmausfiihrung eine Uberpriifung der vom aufrufenden 
Programm direkt oder indirekt iibermittelten Daten ausfiihrt dadurch 
gekennzeichnet, dafi 

- das aufrufende Programm iiber die zu iibergebenden Parameter eine 
erste Checksumme bildet (Schritt 2), 

- diese erste Checksumme in einem dafiir vorgesehenen Speicherbe- 
reich abgelegt wird, 

- das aufgerufene Programm vor seiner Ausfuhrung iiber die erhalte- 
nen Parameter eine zweite Checksumme (Schritt 5) bildet und auf 
Gleichheit mit der ersten Checksumme (Schritt 6) uberprtift und 

- bei Ungleichheit der ersten und der zweiten Checksumme das Pro- 
gramm abgebrochen (Schritt 7)oder eine Fehlermeldung ausgegeben 
wird. 

2. Verfahren zur Sicherung des Programmablaufs beim Aufruf von Un- 
terprogrammen, wobei das aufgerufene Programm vor bzw. wahrend 
der Programrnausfiihrung eine Uberpriifung der vom aufrufenden 
Programm direkt oder indirekt iibermittelten Daten ausfuhrt dadurch 
gekennzeichnet, dafi bei Aufruf eines Unterprogramms ein Timer ge- 
startet wird (Schritt 22), welcher die fur die Ausfuhrung des Pro- 
gramms benotigte Anzahl von Taktzyklen zahlt und das Programm 
abbricht, wenn vor Beendigung des Unterprogramms die vorgegebe- 
ne. Anzahl der Taktzyklen iiberschritten wurde(Schritt 26). 



GEAENDERTES BLATT 



i««-^-.>^...,:„. - .,:,. 



3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der Spei- 
cherbereich zur Ablage der Checksumme ein RAM- oder Registerbe- 
reich ist. 

4. Verfahren nach einem der Anspriiche 1 bis 3, dadurch gekennzeich- 
net, dafi die Riicksprungadressen der aufrufenden Funktion in einer 
Tabelle eingetragen werden und das aufgenifene Programm die vom 
aufrufenden Programm mitgeteilte Riicksprungadresse iiberpriift 
(Schritt 13), indem das Vorhandensein dieser Riicksprungadresse an- 
hand der Tabelle iiberpriift wird. 

5. Verfahren nach Anspruch 2 oder 4, dadurch gekennzeichnet, dafi der 
Timerwert an bestimmten, vorgegebenen Stellen ausgelesen (Schritt 
24) und mit einem ebenfalls vorgegebenen Zwischenwert verglichen 
wird (Schritt 25) und das Programm abgebrochen wird, wenn der 
vorgegebene Zwischenwert iiberschritten wurde (Schritt 26). 



GEAENDERTES BLATT 



VERTRAG U«ER DIE INTERNATIONALE ZUSAftfiMENARBEIT 
AjHpEM GEBIET DES PATENTWE^Ms 

PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regeln 43 und 44 PCT) 



Aktenzeichen des Anmetders Oder Anwalts 

K 51 755/7ch 


WEITERES siehe Mitteilung uber die Ubermittlung des internationalen 

Recherche nberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/EP 00/09131 


Internationales Anmeldedatum 
(Tag/Monat/Jahr) 

18/09/2000 


(Fruhestes) Prioritatsdatum (Tag/Monat/Jahr) 

20/09/1999 


Anmelder 

GIESECKE & DEVRIENT GMBH 



Dieser internationale Recherchenbericht wurde von der Internationalen Recherchenbehdrde erstellt und wird dem Anmelder gemaB 
Artikel 18 Cibermittelt. Eine Kopie wird dem Internationalen Buro ubermittelt. 

Dieser internationale Recherchenbericht umfaBt insgesamt _3 Blatter. 

[X] Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1 . Grundlage des Berichts 

a. Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 



□ 



b. 



2. 
3. 



Die internationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Ubersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das 

[ ] in der internationalen Anmeldung in Schriflicher Form enthalten ist. 

zusammen mitder internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 
bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 
bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

Die Erklarung, daB das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

Die Erklarung, daB die in computerlesbarer Form erfaBten Informationen dem schriftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

Bestimmte Anspruche haben sich als nicht recherchierbar erwiesen (siehe Feld I). 
Mangelnde Einheitlichkeit der Erfindung (siehe Feld II). 



□ 
□ 
□ 
□ 

□ 



□ 
□ 



4. Hinsichtlich der Bezeichnung der Erfindung 

[X] wird der vom Anmelder eingereichte Wortlaut genehmigt. 
| | wurde der Wortlaut von der Behorde wie folgt festgesetzt: 



5. Hinsichtlich der Zusammenfassung 

ry| wird der vom Anmelder eingereichte Wortlaut genehmigt. 

wurde der Wortlaut nach Regel 38.2b) in der in Feld III angegebenen Fassung von der Behorde festgesetzt. Der 
I I Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 

Recherchenberichts eine Stellungnahme vorlegen. 

6. Folgende Abbildung der Zeichnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. _] 



[ | wie vom Anmelder vorgeschlagen |_| keine der Abb. 

fX] weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
| | weil diese Abbildung die Erfindung besser kennzeichnet. 



Formblatt PCT/ISA/210 (Blatt 1) (Juli 1998) 



INTERNATIONALER RECHERCHENBERICHT 



Internationales Aktenzeichen 



A. KLASSIRZIERUNG DES ANMELDUNG^H£aENSTANDES 

IPK 7 G06F11/00 G06F11/28 



Nach der Internationalen Pate ntklassifikat ion (IPK) Oder nach der nationalen Klassifikation und der IPK 



P 00/09131 



B. RECHERCHIERTE GEB1ETE 



Recherchierter Mindestpriifstoff (Klassifikationssystem und Klassiflkatlonssymbole ) 

IPK 7 606F 



Recherchierte aber nicht zum Mindestpriifstoff gehdrende Veroffentlichungen, soweit diese unter die recherchierten Gebiete fallen 



Wan rend der internationalen Recherche konsultierte elektronische Datenbank (Name der Datenbank und evtl. verwendete Suchbegriffe) 

EPO-Internal 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kategorie 0 Bezeichnung der Veroffentlichung, soweit erforderfich unter Angabe der in Betracht kommenden Teile 



Betr. Anspruch Nr. 



US 5 651 111 A (REINIG AUGUST G ET AL) 
22. Juli 1997 (1997-07-22) 
Zusammenf assung; Anspruche 1-5 
Spalte 12, Zeile 18 -Spalte 13, Zeile 8 

US 5 909 580 A (CRELIER REGIS ET AL) 
1. Juni 1999 (1999-06-01) 
Zusammenf assung 

Spalte 12, Zeile 46 -Spalte 13, Zeile 24 
Anspruche 1-15 

US 5 768 591 A (ROBINSON JEFFREY I) 

16. Juni 1998 (1998-06-16) 

Spalte 8, Zeile 38 - Zeile 62; Anspruche 
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0 Besondere Kategorien von angegebenen Veroffentlichungen 

'A' Veroffentlichung, die den allgemeinen Stand der Technik definiert, 
aber nicht als besonders bedeutsam anzusehen ist 

"E" alteres Dokument, das jedoch erst am oder nach dem internationalen 
Anmeldedatum veroffentlicht worden ist 

'L' Veroffentlichung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, oder durch die das Verdffentlichungsdatum einer 
anderen im Recherchenbericht genannten Veroffentlichung belegt werden 
soil oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 

"O" Veroffentlichung, die sich auf eine miindliche Offenbarung, 

eine Benutzung, eine Ausstellung oder andere MaBnahmen bezieht 

■P' Veroffentlichung, die vor dem internationalen Anmeldedatum, aber nach 
dem beanspruchten Prioritatsdatum veroffentlicht worden ist 



'T' Spatere Veroffentlichung, die nach dem internationalen Anmeldedatum 
oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert, sondern nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzips Oder der ihr zugrundeliegenden 
Theorie angegeben ist 

"X" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein autgrund dieser Veroffentlichung nicht als neu oder auf 
erfinderischer Tatigkeit beruhend betrachtet werden 

'Y* Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer oder mehreren anderen 
Veroffentlichungen dieser Kategorie in Verbindung gebracht wind und 
diese Verbindung fur einen Fachmann naheliegend ist 

"&" Veroffentlichung, die Mitglied derselben Patentfamilie ist 
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This international preliminary examination report has been prepared by this International Preliminary Examining Authority 
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2. This REPORT consists of a total of 



. sheets, including this cover sheet. 



This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have been 
amended and are the basis for this report and/or sheets containing rectifications made before this Authority (see Rule 
70. 1 6 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



sheets. 



3. This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



I 




II 
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III 


□ 


IV 




V 




VI 


□ 


VII 


□ 


VIII 


□ 



Date of submission of the demand 
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Date of completion of this report 

22 January 2002 (22.01.2002) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/EP00/09131 



I. Basis of the report 



1. With regard to the elements of the international application:* 
the international application as originally filed 

the description: 

pages » as originally filed 

pages , filed with the demand 

pages la , filed with the letter of 26 November 2001 (26. 1 1 .2001 ) 

the claims: 

pages > as originally filed 

pages , as amended (together with any statement under Article 1 9 

pages , filed with the demand 

pages 1_5 . filed with the letter of 26 November 2001 (26. 1 1 .2001 ) 

the drawings: 



pages 



1/2, 2/2 , as originally filed 



pages > filed with the demand 
pages , filed with the letter of 

| [ the sequence listing part of the description: 

pages , as originally filed 

pages » fi* ed witn the demand 

pages , filed with the letter of 

2. With regard to the language, all the elements marked above were available or furnished to this Authority in the language in which 
the international application was filed, unless otherwise indicated under this item. 

These elements were available or furnished to this Authority in the following language which is: 

I | the language of a translation furnished for the purposes of international search (under Rule 23. 1(b)). 
| | the language of publication of the international application (under Rule 48.3(b)). 

[ | the language of the translation furnished for the purposes of international preliminary examination (under Rule 55.2 and/ 

or 55.3). 

3. With regard to any nucleotide and/or amino acid sequence disclosed in the international application, the international 
preliminary examination was carried out on the basis of the sequence listing: 

I I contained in the international application in written form. 

I | filed together with the international application in computer readable form. 

I I furnished subsequently to this Authority in written form. 

1 1 furnished subsequently to this Authority in computer readable form. 

I | The statement that the subsequently furnished written sequence listing does not go beyond the disclosure in the 
international application as filed has been furnished. 

I | The statement that the information recorded in computer readable form is identical to the written sequence listing has 
been furnished. 

4. The amendments have resulted in the cancellation of: 

the description, pages 

I I the claims, Nos. . 



1 I the drawings, sheets/fig . 



I I This report has been established as if (some of) the amendments had not been made, since they have been considered to go 
' ' — ' beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)).** 

* Replacement sheets which have been furnished to the receiving Office in response to an invitation under Article 14 are referred to 
in this report as "originally filed" and are not annexed to this report since they do not contain amendments (Rule 70.16 
and 70.17). 

** Any replacement sheet containing such amendments must be referred to under item 1 and annexed to this report. 
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IV. Lack of unity of invention 



1 . In response to the invitation to restrict or pay additional fees the applicant has: 
1 1 restricted the claims. 
1 1 paid additional fees. 
I I paid additional fees under protest. 
1 1 neither restricted nor paid additional fees. 

This Authority found that the requirement of unity of invention is not complied with and chose, according to Rule 68.1, 
not to invite the applicant to restrict or pay additional fees. 



3. This Authority considers that the requirement of unity of invention in accordance with Rules 13.1, 13.2 and 13.3 is 
I I complied with. 

not complied with for the following reasons: 
SEE SEPARATE SHEET 



4. Consequently, the following parts of the international application were the subject of international preliminary examination 
in establishing this report: 



all parts. 

□ 

the parts relating to claims Nos. 
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Supplemental Box 

(To be used when the space in any of the preceding boxes is not sufficient) 



Continuation of: I V . 



1. Reference is made to the following documents: 
Dl = US-A-5 651 111; 



D2 = US-A-5 715 389; 



D3 = US-A-5 761 414. 



2. For the following reasons, the international 

application does not satisfy the requirements set 
forth in PCT Rule 13 regarding unity of invention: 

The features common to Claims 1 and 2 are the 
following: 

a process for protecting the integrity of program 
execution during subroutine calls, the program 
called carrying out a check of the data transmitted 
directly or indirectly by the calling program 
either prior to or during program execution. 

Document Dl discloses all the common features of 
independent Claims 1 and 2 (see Dl, abstract; 
column 14, lines 17-20 and 33-63; column 15, lines 
17-57; Claim 20) . 

Although the process described in Dl has been 
developed for producing a software test system, it 
is also suitable for checking data that is 
transferred to a program called, the check being 
done by the called program itself (cf. PCT 
Guidelines, Part C, Chapter III-4.8). 
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Supplemental Box 

(To be used when the space in any of the preceding boxes is not sufficient) 



Continuation of: IV. 



Consequently, the features common to independent 
Claims 1 and 2 are not novel- The required unity of 
invention (PCT Rule 13.1) is thus no longer present 
because no technical relationship according to PCT 
Rule 13.2 exists between the subjects of 
independent Claims 1 and 2 that is expressed in one 
or more of the same or corresponding special 
technical features . 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 


1 . Statement 








Novelty (N) 


Claims 




1-5 YES 




Claims 




NO 


Inventive step (IS) 


Claims 


i, 


3-4 YES 




Claims 


2, 


4-5 NO 


Industrial applicability (IA) 


Claims 




1-5 YES 




Claims 




NO 



2. Citations and explanations 



1. First group: Claims 1, 3-4 



The invention addresses the problem of making a 
process available for protecting program execution 
during subroutine calls, the program execution 
needing to be protected from unauthorized 
manipulation. This problem is solved by the process 
described in Claim 1. The process prevents 
unauthorized manipulation by requiring that a called 
program carry out a check of the data transmitted 
either directly or indirectly by the calling program 
prior to or during program execution. The check is 
done using a checksum. In particular, checksums are 
formed via the parameters to be passed before and 
after interchange and compared with each other. A 
disparity between the two checksums leads to program 
termination or an error message. 

Document Dl, which represents the closest prior art 
for Claim 1, describes a test process used in 
software development to automate testing of software 
modules. Although the process described in Dl 
mentions a check of the parameters passed under 
different routines, the disclosure of document Dl 
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differs from the subject matter of Claim 1 in that 
the check is not done using checksums formed. Dl 
does not suggest that direction because it is 
concerned with a different problem (software 
testing, debugging, formal parameter check) than is 
the application (ensuring the integrity of program 
execution) . 

2. Second group: Claims 2, 4 and 5 

2.1 Inventive step (PC Article 33(3)): 

For the following reasons, the application does not 
satisfy the criteria set forth in PCT Article 33(3) 
regarding inventive step: 

Claim 2: 

Document D3, which is considered to be the closest 
prior art, discloses a process ensuring the 
integrity of program execution when subroutines are 
called (abstract) characterized in that, upon 
calling of a subroutine, a timer is set (abstract; 
Figure la; column 2, lines 17-21) that counts the 
number of pulse cycles required for program 
execution and aborts the program should the 
predetermined number of pulse cycles be exceeded 
prior to program termination (abstract ) . 

Accordingly, the subject matter of independent 
Claim 2 differs from the process in D3 in that the 
program called carries out a check of the data 
transferred directly or indirectly by the calling 
program prior to or during program execution. 

That feature represents a generally known process 
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step disclosed by the prior art (see for example Dl, 
abstract; column 14, lines 33-63; column 15, lines 
17-57; Claim 20) that is normally undertaken to 
check the consistency of the data transferred as 
necessary. That cannot substantiate an inventive 
step because it would be obvious to a person skilled 
in the art to combine the teaching of documents Dl 
and D3 and thereby to arrive at the solution 
proposed in Claim 2. Consequently, the subject mater 
of independent Claim 2 does not involve an inventive 
step . 

2.2 Claims 4 and 5: 

Dependent Claims 4 and 5 contain no features known 
in combination with the features of Claim 2, to 
which they refer, that satisfy the PCT requirements 
regarding inventive step. 
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|H (54) Tide: METHOD FOR PROTECTING A PROGRAM FLOW 

S (54) Bezeichnung: VERFAHREN ZJJR SICHERUNG ONES PROGRAMMABLAUFS 



3^' 



Pritfsumme 1 



UPaufr 




UPausf 



> 




Prttfsumme 2 



3^ 



1... PARAMETER 
2...CHECKSUM 1 
3...GALL SUB-PROGRAMME 
4...RUN SUB-PROGRAMME 
5. ..CHECKSUM 2 
7...END PROGRAMME 
8... EXECUTE PROGRAMME 
JA..YES 
NEIN...NO 




9 Progremm beenden^/^' 7 



(57) Abstract: Hie invention relates to a method for protecting the program flow during sub-program calls. Known methods for 
protecting data contract the evaluation of data by specific interruption of the program, do not however offer any effective protection 
for modular programs, especially with regard to sub-program calls. According to the invention, the requested program therefor 
checks the data communicated directly or indirectly by the requesting program before or during the execution of the program. 

[Fortsetzung auf der ndchsten SeiteJ 
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europaisches Patent (AT, BE, CH, CY, DE, DK, ES, H, — Vor Ablaufder fir Anderungen der AnsprUche geltenden 
FR, GB, GR, IE, IT, LU, MC, NL, FT, SE), OAPI-Patent Frist; Ver&ffentlichung wird wiederholU falls Anderungen 

(BF, BJ, CF, CG, CI, CM, GA, GN, GW, ML, MR, NE, eintreffen, 
SN, TD, TG). 

Zur Erklarung der Zweibuchstaben-Codes, und der anderen 
Abkurzungen wird auf die ErJdarungen ("Guidance Notes on 

VerOffentlicht: Codes and Abbreviations") am Anfangjeder regularen Ausgabe 

• — Mit internationaiem Recherchenbericht der PCF-Gqzette verwiesen. 



(57) Zusammenfassung: Die Frfindimg bctrifft ein Verfahren zur Sickening des Ptogrammablaufs bdm Auftuf von Unterprogram- 
men. Bekannte Verfahren zur Datensicbcrung wirken zwar einer Auswertung der Daten durch gezielte Prognunmunterbrechung 
entgegen, bieten jedocfa keinen wirksamen Schutz bei modular aufgebauten Programmen, insbesondere beim Auftuf von Unter- 
programmen. Gemass der Erfindung fflhrt deshalb das aufgerufene Programm vor bzw. wShrend der Programmausfuhrung eine 
Cberprttfung der vom auftuf enden Programm direkt oder indirekt tibermittelten Daten aus. 
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Verfahren zur Sicherung eines Programmablaufs 

Die vorliegende Erfindung betrifft ein Verfahren zur Sicherung des Pro 
5 grammablaufs gemafi Anspruch 1. 

Insbesondere bei sicherheitsrelevanten Anwendungen, beispielsweise im 
Bereich von IC-Karten ist es notwendig, den Programmablauf vor unerlaub- 
ten Manipulationen zu schutzen. Zum Schutz geheimer Paten, beispielswei- 
10 se geheimer Schlusseldaten, ist es bekannt, die zu schiltzenden Daten ver- 
schlusselt abzulegen, urn ein Auslesen durch Unberechtigte zu verhindern. 

Der Zugriff auf geheime Daten kann jedoch auch dadurch erf olgen, dafi der 
Programmablauf gezielt unterbrochen wird, so dafi Fehler in den Verschlus- 
15 selungsroutinen entstehen, aus denen nach mehrmaliger gezielter Unterbre- 
chung auf die geheimen Daten ruckgeschlossen werden kann. 

Zur Vermeidung derbrtiger Angriff e ist es notwendig, Fehler oder Storungen 
des Programmablaufs sicher zu erkennen. Aus der deutschen Patentschrift 

20 DE 37 09 524 C2 ist ein Verfahren zur Oberprufung der SpeicherzeUeninhalte 
eines Programmspeichers in einem Rechner bekannt. Dort werden mehrere 
Prufsummen abgespeichert, welche aus SpeicherzeUeninhalten yon unter- 
schiedlichen Adrefi- undPatenspeicherbereichen gebildet werden. Die Prttf- 
summen werden zu Beginn und/oder wahrend des Rechnerbetriebs ermit- 

25 telt und mit der abgespeicherten Prttfsumme verglichen. Bei Feststellung 
einer Abweichung wird ein Fehlersignal ausgegeben. 

Das aus der DE 37 09 524 C2 bekannte Verfahren eignet sich hauptsachlich 
dazu, die Richtigkeit yon Daten, welche in einem Programm verwendet 
30 werden, zu uberprufen. Es wird auiier Acht gelassen, dafi auch bzw. insbe- 
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sondere bei Programmaufrufen, d.h. bei der Ausfiihrung von Unter- oder 
Funktionsprogrammen eine Manipulation des Programmablaufs erfolgen 
kann. . 

5 Es ist deshalb Auf gabe der vorliegenden Erfindung, ein Verf ahren anzuge- 
ben, das die sichere tJberprfifung von modular auf gebauten Programmen, 
irabesondere bei Unterprogrammaufruf en, zulafit. 

Gemafi der Erfindung wird diese Auf gabe gelost, indem vom auf geruf enen 
10 Programm eine Datenfiberprfifung ausgefiihrt wird, welche den sicheren 
Obergang der vom aufrufenden Programm zu iibergebenden Daten fest- 
steUt 



Durch die Erfindung wird eine zusatzliche Sicherheit erreicht, die hicht nur 
15 gewahrleistet, dafi einzelne Programmteile sicher und vollstandig ausgeftihrt 
werden, sondern da|3 der gesamte Programmablauf ungestOrt und frei von 
Manipulationen ablaulen kann. 

Eine vorteilhafte Ausfuhrungsform der Erfindung sieht vor, dafi uber die 
20 vom aufrufenden Programm an das auf geruf ene Programm ubergebenen 
Parameter zunachst vom aufrufenden Programm eine Checksumme gebildet 
wird, welche in einem dafur vorgesehenen Speicherbereich abgelegt wird. 
Na ch Ubergabe der Parameter wird auch vom auf geruf enen Programm fiber 
die erhaltenen Parameter eine Checksumme gebildet Fur den Fall, dafi die 
25 vom aufrufenden und auf geruf enen Programm gebildeten Checksummen 
unterschiedlich sind, wird das Programm abgebrochen. 

Auf diese Weise kann sichergestellt werden, dafi ein Funktionsprogramm, 
* insbesondere ein Funktionsprogramm, welches sicherheitsrelevante Daten 
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abarbeitet, bereits zu Beginn auf Manipulationen hin untersucht wird,sodafi 
der Start des auf geruf enen Programms mit f ehlerhaften Parametern von 
vornherein verhindert werden kann und eine Auswertung der fehlerbehafte- 
ten Daten rricht ermdglicht wird. 

5 

Vorzugsweise wird der Speicherbereich, welcher zur Ablage der 
Oiecksumme vorgesehen ist, in einem RAM- oder Registerbereich angelegt. 

Eine weitere oder alternative Ausfuhrungsf onn zur Bildung der Checksum- 
10 me iiber die zu iibergebenden Parameter ergibt sich aus der Uberprufung 
der Rucksprungadressen. Dabei werden die Riicksprungadressen der aufru- 
fenden Funktionen in einer Tabelle eingetragen und vom aufgeruienen Pro- 
gramm kann mittels dieser Tabelle uberpriift werden, 6b die vom aufruf en- 
den Programm ubermittelte Rucksprungadresse in der Tabelle vorhanden 
15 ist. Bei einer fehlerhaft mitgeteilten Rucksprungadresse kann das Programm 

unterbrochen werden^ 

...» 

Eine weitere alternative oder zusatzliche Sicherheitstlberprufung kann erfol- 
gen, indem bei Aufruf eines Unterprogramms bzw. eines Funktionspro- 

20 gramms ein Timer gestartet wird. Dieser Timer zahlt die Taktzyklen, welche 
fur die Ausfflhrung des Programms notwendig sind. Es wird dabei zunSchst 
- als Grenzwert fttr den Timer die fur den regulSren Unterprogrammablauf 
benOtigte Anzahl der Taktzyklen als Grenzwert vorgegeben. Das Programm 
wird abgebrochen, ^wenn vor Beendigung des Unterprogramms die Anzahl 

25 der vorgegebenen Taktzyklen uberschritten wurde. 

In vorteilhafter Weise wird auch an bestimmten, vorgegebenen Stellen des 
; Unterprogramms der Timerwert ausgelesen und mit ebenf alls vorgegebenen 
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Zwischenwerten verglichen. Auch in diesem Fall wird das Programm abge- 
brochen, wenn der vorgegebene Zwischenwert uberschritten wurde. 

Im folgenden wird die Erfindung anhand der Fig. 1 bis 3 naher erlautert 

5 

Eszeigeru 

Figurl: Ablauf diagramm fur die Oberprufung rmttels Prufsumme 
Figur 2: Ablauf fur die Oberprufung mittels Rticksprungadressentabelle 
10 Figur 3: : Ablauf fur die Oberprufung mittels Timer. 

In Figur 1 ist der Ablauf eines Unterprogrammmaufruf s, insbesondere eines 
Funktionsaufrufs beschrieben/ wobei die Funktionsschritte I bis 3 das aufzu- 
rufende Programm betreffen und die Funktionsschritte 4 bis 8 die Auswer- 
15 rung des Unterprogramms betreffen. 

Im auf zuruf enden Programm werden zunachst in Schritt 1 die fur die Aus- 
fuhrung des Unterprogramms notwendigen Parameter bereitgestellt. Fttr 
diese Parameter wird in Schritt 2 eine Priifsumme gebildet, die im einfach- 

20 sten Fall aus einem Parity-check bestehen kann. Im weiteren sind selbstver- 
standlich die gangigen Verfahren zur Priif summenbildimg, z.B. CRC 
- (Cyclical Redundancy Check) oderEDC einsetzbar. Die so ermittelte Priif- 
summe (Checksumme) wird in einen dafttr vorgesehenen Speicherbereich 
eingeschrieben. Bei diesem Speicherbereich kann es sich urn einen fltichtigen 

25 Speicher (RAM) oder auch urn einen nichtflttchtigen, wiederbeschreibbaren 
Speicher (z.B. EEPROM) handeln. 
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In Anschlufi an die Bildung und Abspeicherung der Prttfsumme 1 erfolgt der 
Unterprogrammaufruf in Schritt 3. Schritt 4 stellt den Beginn der Ausftth- 
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rung des Unterprograrrtrns dar. In diesem Unterprogramm wird zuna"chst 
die Prtifsumme 2 tiber die tibergebenen Parameter gebildet. Diese Prufsum- 
me wird mit dem gleichen Verfahren gebildet, mit dem auch die Prtifsumme 
1 im aufrufenden Programm ermittelt wurde. 

5 . :. ' ' 

Als nachstes erfolgt in Schritt 6 eine Gbei^rttfung der Prufsurnmen PS1 tmd 
PS2 auf Gleichheit. Wird in diesem Schritt 6 festgestellt, dag die beiden Pruf- 
summen ungleich sind, kann davon ausgegangen werden, dag bei der Uber- 
gabe der Programmparameter ein Fehler auf getreten ist, welcher ein Hin- 
10 weis auf eine beabsichtigte Storung mit dem Ziel, Geheimdaten zu ermitteln, 
sein kann. Als Mafinahme kann in Sehritt 7 das Programm beendet werden 
oder es werden entsprechende alternative Mafinahmen getroffen, beispiels- 
weise eine Fehlermeldtmg an das Hauptprogramm. 

15 Wird in Schritt 6 festgestellt, dag die Prufsummen PS1 und PS2 gleich sind, 
wird mit der eigentlichen FtmktionsausfQhrung begonnen. 

Die Figur 2 zeigt eine MOglichkeit der Programmsicherung durch Oberpra- 
fen der Rficksprungadressen. Rticksprungadressen werden beim Funktions- 

20 aufruf per Hardware auf den Stack gelegt. Im vorliegenden Fall werden also 
im Schritt 11 beim Unterprogrammaufruf, ebenf alls die Informationen vom 
aufrufenden Programm (z.B. Rtickspnmgadressen) an das Unterprogramm 
iibergeberu GemSg der Erfindung werden die Rticksprungadressen ineiner 
Tabelle 17 verwaltet und bei der Ausfiihrung des Unterprogramms werden 

25 zunachst in Schritt 12 die Rticksprungadressen - soweit sie im RAM abgelegt 
sind - auf Konsistenz bin untersucht, urn sie in Schritt 13 anhand der Tabelle 
17 zu tiberprtif en. Wenn in Schritt 14 festgestellt wurde, dag die tibergebene 
Rticksprungadresse nicht in der Tabelle vorhanden ist, wird mit Schritt 15 
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das Programm beendet, andernf alls wird in Schritt 16 mit der Ausftthrung 
des Funktionsprogramms begoiinen. 

Die Figur 3 zeigt eine Ausftthrungsf orm, bei der der richtige Pro- 
5 grammablauf bzw. der ungestorte Programmablauf mittels eines Timers 
ttberpruft wird. Unmittelbar nach dem Start des Unterprogramms in Schritt 
21 wird in Schritt 22 ein Timer gestartet. Dieser Timer ist ausgelegt, die Zeit 
zu messen bzw. die Tatktzyklen zu zahlen, welche fttr die AusfOhrung des 
Unterprogramms benotigt werden. Im Anschlufi an den Start des Timers in 

10 Schritt 22 wird mit Schritt 23 dieFunktion des Unterprogramms ausgeftthrt 
und nach Beendigung der Funktion wird in Schritt 24 der Timer gestoppt. In 
Schritt 25 wird uberpruft, ob die Anzahl der Taktzyklen, welche fur die Aus- 
fuhrung des Funktionsprogramms benOtigt wurden, mit der vorgegebenen 
Anzahl von Taktzyklen fibereinstimmt. Fur den Fall, dafi keine Uberein- 

15 stimmung besteht, wird das Programm mit Schritt 26 beendet Im anderen 
Fall wird in Schritt 27mit der Programmausfuhrung fortgefahren, beispiels- 
weise indem zum Hauptprogramm zuriickgesprungen wird. 

In der Figur 3 ist dargestellt, dafi der Timer nach Ablauf der Funktion bzw. 
20 des Funktionsprogramms gestoppt und uberpruft wird. In der Praxis karat 
die Sicherheit erhoht werden, indem bestimmte Stellen im Funktionspro- 
gramm vorgesehen werden, an denen der Timer zusatzlich uberpruft wird. 
Damit kann gegebenenfalls verhindert werden, dafi das FunktionSprogramm 
trotz eines Fehlers oder Angriffs weitgehend ausgeftthrt wird. 
.25 " . , , .. . . • 

Alternativ kann auch vorgesehen werden, dafi der TimerWert nach dem Start 
kontinuierlich mit einem Grenzwert verg^ichen wird und das Programm ab- 
gebrochen wird, wenn dieser Grenzwert erreicht bzw. ttberschritten wurde. 
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Die einzelnen AusfOhrungsbeispiele nach den Figuren 1 bis 3 wurden als 
eigenstandige, alternative Mafinahmen dargestellt. Die Sicherheit kann er- 
hdht werden, indem die Ausfiihrungsbeispiele kombiniert werden. Grdfite 
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Neue Patentansprflche 



1. Verfahren zur Sicherung des Programmablaufs beim Aufruf von Un- 
5 terprogrammen, wobei das aufgerufene Programm vor bzw. wahrend 

der Programmausfiihrung eine Oberpriifung der vom aufruf enden 
Programm direkt oder indirekt iibermittelten Daten ausfiihrt dadurch 
gekennzeichnet, dafi 

- das aufruf ende Programm uber die zu ubergebenden Parameter eine 
10 erste Checksumme bildet, 

- diese erste Checksumme in einem dafur vorgesehenen Speicherbe- 
reich abgelegt wird, 

- das aufgerufene Programm vor seiner Ausftihrung fiber die erhalte- 
nen Parameter eine zweite Checksumme bildet und auf Gleichheit mit 

15 der ersten Checksumme iiberpruft und 

- bei Ungleich^eit der ersten und der zweiten Checksumme das Pro- 
gramm abgebrochen oder eine Fehlermeldung ausgegeben wird. 

2. Verfahren zur Sicherung des Programmablaufs beim Aufruf von Un- 
20 terprogrammen, wobei das aufgerufene Programm vor bzw. wahrend 

der Prograrrunausfuhrung eine Oberpruhmg der vom aufruf enden 
Programm direkt oder indirekt ttbermittelten Daten ausfuhrt dadurch 
gekennzeichnet, dafi bei Aufruf eines Unterprogramms ein Timer ge- 
startet wird, welcher die fur die Ausftihrung des Programms benOtig- 
25 te Anzahl von Taktzyklen zahlt und das Programm abbricht, wenn 

vor Beendigung des Unterprogramms die vorgegebene Anzahl der 
Taktzyklen uberschritten wurde. 
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3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der Spei- 
cherbereich zur Ablage der Checksumme ein RAM- oder Registerbe- 
reich ist. 

5 4. Verfahren nach einem der AnsprQche 1 bis 3, dadurch gekennzeich- 
net, dafi die Rticksprungadressen der aufrufenden Funktion in einer 
Tabelle eingetragen werden und das aufgeruf ene Programm die vom 
aufrufenden Programm mitgeteilte Rucksprungadresse uberpriift, in- 
dem das Vorhandensein dieser Rucksprungadresse anhand der Tabel- 
10 leuberprttftwird. 

5. Verfahren nach einem der Anspriiche 2-4, dadurch gekennzeichnet, 
dafi der Timerwert an bestimmten, vorgegebenen Stellen ausgelesen 
und mit einem ebenf alls vorgegebenen Zwischenwert verglichen wird 
15 und das Programm abgebrochen wird, wenn der vorgegebene Zwi- 

schenwert aberschritten wurde. 
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